मुफ्त स्कैन करें
CRITICALCVE-2024-40643CVSS 9.7

Joplin में एक पार्सिंग त्रुटि है जो क्रॉस-साइट स्क्रिप्टिंग (XSS) की ओर ले जाती है

प्लेटफ़ॉर्म

other

घटक

joplin

में ठीक किया गया

3.0.16

AI Confidence: highNVDEPSS 0.6%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Joplin एक मुफ्त, ओपन-सोर्स नोट लेने और टू-डू एप्लीकेशन है। CVE-2024-40643 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Joplin के संस्करणों 3.0.15 से पहले मौजूद है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। Joplin 3.0.15 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावरों को Joplin एप्लीकेशन के भीतर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। एक सफल शोषण से हमलावर उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट चला सकता है, जिससे वे उपयोगकर्ता के नोट, पासवर्ड और अन्य संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं। हमलावर सत्र अपहरण भी कर सकते हैं, जिससे वे उपयोगकर्ता के रूप में एप्लीकेशन को नियंत्रित कर सकते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने के लिए भी किया जा सकता है। चूंकि Joplin एक नोट लेने वाला एप्लीकेशन है, इसलिए प्रभावित सिस्टम पर संग्रहीत डेटा की मात्रा और संवेदनशीलता के कारण भेद्यता का प्रभाव काफी अधिक हो सकता है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से ज्ञात है और एक प्रूफ-ऑफ-कॉन्सेप्ट (POC) उपलब्ध है। CISA ने इस भेद्यता को अपनी KEV सूची में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए, इसे भविष्य में शामिल किया जा सकता है। इस भेद्यता का शोषण करने के लिए सक्रिय अभियान की कोई जानकारी नहीं है, लेकिन इसकी सार्वजनिक उपलब्धता के कारण, इसका शोषण होने का खतरा है। NVD ने 2024-09-09 को इस भेद्यता को प्रकाशित किया।

कौन जोखिम में हैअनुवाद हो रहा है…

Users of Joplin who rely on the application to store sensitive information, particularly those using older versions (≤ 3.0.15). Individuals who share Joplin notes with others are also at increased risk, as malicious notes could be distributed and executed.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.56% (68% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H9.7CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकjoplin
विक्रेताlaurent22
प्रभावित श्रेणीमें ठीक किया गया
< 3.0.15 – < 3.0.153.0.16

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने का सबसे प्रभावी तरीका Joplin को संस्करण 3.0.15 में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लीकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो XSS हमलों को ब्लॉक करता है। आप अपने Joplin कॉन्फ़िगरेशन में सख्त सामग्री सुरक्षा नीति (CSP) भी लागू कर सकते हैं ताकि स्क्रिप्ट को केवल विश्वसनीय स्रोतों से लोड करने की अनुमति दी जा सके। इसके अतिरिक्त, उपयोगकर्ता को अविश्वसनीय स्रोतों से नोटों को कॉपी और पेस्ट करने से बचना चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लीकेशन के लॉग की जांच करें और किसी भी असामान्य गतिविधि की तलाश करें।

कैसे ठीक करें

Joplin को संस्करण 3.0.15 या उच्चतर में अपडेट करें। इस संस्करण में XSS भेद्यता के लिए एक सुधार शामिल है। आप Joplin की आधिकारिक वेबसाइट या अपने ऑपरेटिंग सिस्टम के पैकेज मैनेजर के माध्यम से नवीनतम संस्करण डाउनलोड कर सकते हैं।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-40643 — XSS Joplin नोट लेने वाला एप्लीकेशन क्या है?

CVE-2024-40643 Joplin नोट लेने वाले एप्लीकेशन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।

क्या मैं CVE-2024-40643 से Joplin नोट लेने वाला एप्लीकेशन प्रभावित हूँ?

यदि आप Joplin के संस्करण 3.0.15 से पहले का संस्करण उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2024-40643 को Joplin नोट लेने वाला एप्लीकेशन में कैसे ठीक करूँ?

Joplin को संस्करण 3.0.15 में अपग्रेड करें।

क्या CVE-2024-40643 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सक्रिय शोषण की कोई जानकारी नहीं है, लेकिन सार्वजनिक रूप से उपलब्ध POC के कारण इसका शोषण होने का खतरा है।

मैं Joplin के लिए CVE-2024-40643 के लिए आधिकारिक एडवाइजरी कहां पा सकता हूं?

Joplin प्रोजेक्ट वेबसाइट पर जाएं और सुरक्षा एडवाइजरी अनुभाग देखें: [https://joplinapp.org/security/](https://joplinapp.org/security/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें